【0001】
【発明の属する技術分野】
ICカードを利用して個人情報を管理する個人情報管理システムに関する。
【0002】
【従来の技術】
医学の発展を目指し、遺伝子情報、健診情報、診療録など医療・健康関係の情報を用いた研究が進められている。その一方、これらの情報はプライバシーを含む個人情報であるため、その取り扱いについては個人情報保護への十分な対応が求められている。
【0003】
従来、このような個人情報を管理・活用するシステムとしては、例えば、遺伝子情報を解析するシステムなどがある。遺伝子情報を扱う場合の運用の基準として、文部科学省、厚生労働省、経済産業省よりヒトゲノム・遺伝子解析研究に関する倫理指針が示されている(非特許文献1を参照)。この中では、個人情報を利用するためには情報提供者本人の自由意志による同意を得る必要があることや、個人を特定する情報を含む情報を扱うコンピュータは、他のコンピュータから切り離す必要があることなどが示されている。しかし、このようなシステムは運用が煩雑であり、情報の追加登録や、登録した情報の情報提供者本人による活用などを簡便に行う方法については考慮されていなかった。
【0004】
【非特許文献1】
平成13年3月文部科学省・厚生労働省・経済産業省告示第1号
【0005】
【発明が解決しようとする課題】
情報の追加登録や、登録した情報の情報提供者本人による活用などを簡便に行う方法として、個人にICカードを配布し、匿名化された情報と個人を特定する情報とをICカード内で管理する方法が考えられる。ICカードを使用して情報提供に対する同意を確認し、同時にカード内の匿名化IDを使用して匿名化することで、匿名化された個人情報を収集できる。また、情報を追加する際にも同一の匿名化IDで匿名化するので、以前に収集した情報と新しく収集した情報を匿名化IDで結合できる。
【0006】
上術の方法は、ICカードを利用して個人からの情報提供に対する同意の確認や、匿名化を行う方法である。しかし、仮にこのような情報収集専用のICカードを発行した場合、利用者はその他の様々なカードとともにこのICカードを携帯する必要が生じ、利用者の利便性が低下する可能性があった。また、例えば、健診情報収集のICカードとした場合、通常健診は年に1回しか受診しないので利用頻度が低く、利用者にその存在を忘れられてしまう可能性があった。上述の方法では、このような点については考慮されていなかった。
【0007】
本発明の目的は、利用者個人にとって利便性が高く、また、健診に利用する場合など利用頻度が低くてもICカード紛失等の心配の少ない個人情報管理システムを提供することにある。本発明の他の目的は、個人情報を安全に収集・管理できる個人情報管理システムを提供することにある。
【0008】
【課題を解決するための手段】
上記課題を解決するため、本発明の個人情報管理システムは、個人情報を匿名化してサーバで管理し、サーバにアクセスする場合にICカードを用い、ICカードは、匿名化された個人を識別するために匿名化されたICカード所有者の個人情報に割り当てられた匿名化IDと、ICカード所有者本人を特定する本人特定情報と、匿名化IDと本人特定情報を管理するID管理手段とを有する個人情報管理カードアプリケーションを格納していることを特徴としている。
【0009】
さらに、本発明の個人情報管理システムは、個人情報管理カードアプリケーションを配布して、個人のICカードにインストールする個人情報管理カードアプリケーション発行手段と、ICカードに対して匿名化IDを発行する匿名化ID管理手段とを有することを特徴としている。
【0010】
さらに、本発明の個人情報管理システムは、個人情報管理カードアプリケーションが管理する本人特定情報を用いて、ICカード使用者がICカードの所有者本人であることを確認する本人確認手段と、個人情報から個人を特定する氏名や住所などの情報を削除し、個人情報管理カードアプリケーションの匿名化ID情報を付加して匿名化を行う匿名化手段と、匿名化された個人情報をサーバに送るサーバアクセス手段と、サーバにおいて匿名化された個人情報を管理する匿名データ管理手段とを有することを特徴としている。
【0011】
さらに、本発明の個人情報管理システムにおいて、サーバアクセス手段は、ICカードの個人情報管理カードアプリケーションに管理されている匿名化IDで指定された個人情報を取得する要求をサーバに送付し、匿名データ管理手段から匿名化IDで指定された個人情報を取得することを特徴としている。
【0012】
さらに、本発明の個人情報管理システムにおいて、サーバアクセス手段は、ICカードの個人情報管理カードアプリケーションに管理されている匿名化IDで指定された個人情報を削除する要求をサーバに送付し、匿名データ管理手段がサーバの個人情報を削除することを特徴としている。
【0013】
さらに、本発明の個人情報管理システムは、個人情報管理カードアプリケーション発行手段と匿名データ管理手段は、各々別のサーバ装置で動作することを特徴としている。
【0014】
さらに、本発明の個人情報管理システムは、個人情報管理カードアプリケーション発行手段と匿名化ID管理手段と匿名データ管理手段は、各々別のサーバ装置で動作することを特徴としている。
【0015】
【発明の実施の形態】
以下、本発明の実施の形態を図を用いて詳細に説明する。ここでは、利用者が所有しているICカードに、個人情報管理用のアプリケーションをインストールし、個人情報として健康診断の結果である健診情報を扱う場合を例にして説明する。健診情報をサーバで管理して個人が活用できるようにすると共に、サーバで収集した健診情報の分析などの研究を行う、健診情報の管理サービスを想定する。
【0016】
図1は、本発明の実施例の個人情報管理システムの一構成例を示す図である。個人情報管理システムは、サーバ101、端末102、ICカード103により構成される。サーバ101は、個人の健診情報を収集するコンピュータ装置で、健診情報を収集して研究などを行う研究機関などに設置する。端末102は、定期健診や総合健診や人間ドックなどの各種健診を行う健診施設に設置し、受診者の健診情報を管理するコンピュータ装置である。複数の施設が存在すれば、端末102も複数となるが、ここでは一台のみを図示している。ICカード103は、健診を受診する個人が所有するICカードである。ICカード103は個人毎に一枚ずつ所有しているため複数存在するが、ここでは1枚のみを図示している。
【0017】
サーバ101は、コンピュータ装置であり、演算や処理を実行するCPU111、端末と通信するネットワークインターフェイス(Network I/F)112、ハードディスクやメモリなどの記憶装置113を有している。記憶装置113内には個人情報管理のためのサーバプログラム141とデータ142を有している。サーバ101では、記憶装置にある個人情報管理サーバプログラム141やデータ142を必要に応じてCPU111に読み出して処理を実行する。個人情報管理サーバプログラム141は、新規加入者のICカードに個人情報管理カードアプリケーション173を配布する個人情報管理カードアプリケーション発行手段181、匿名化IDを発行する匿名化ID管理手段182、匿名化された個人情報を蓄積・管理する匿名データ管理手段183などを有している。また、データ142は、匿名化ID171と匿名化された個人情報(匿名化済個人情報)172を管理しているほか、ICカードにインストールする個人情報管理カードアプリケーション173を有している。匿名化IDは、個人情報を提供した個人を識別するために付与され、同じ人は同じIDで管理する。匿名化された個人情報は、ここでは、定期健診、総合健診、人間ドックなどの健診結果から、氏名や住所など個人を特定可能な情報を除いたものである。
【0018】
端末102はコンピュータ装置であり、演算や処理を実行するCPU122、サーバ101と通信するネットワークインターフェイス(Network I/F)121、ディスプレイなどの表示装置123、マウスやキーボードなどの入力装置124、ICカードとの入出力を行うICカードリーダライタ125、ハードディスクやメモリなどの記憶装置126を有している。記憶装置126には、健診施設での個人情報である健診情報を管理する個人情報管理端末プログラム151と、実際の健診情報などのデータ152を有している。端末102では、記憶装置126にある個人情報管理端末プログラム151やデータ152を必要に応じてCPU122に読み出して処理を実行する。処理の内容は必要に応じて表示装置123に表示し、入力装置124から操作者の指示を入力して処理を進める。個人情報管理端末プログラム151は、ICカード利用者がICカード所有者本人であることを確認する本人確認手段184、端末内に保持する個人情報の匿名化を行う個人情報匿名化手段185、サーバ101にアクセスして情報を送受するサーバアクセス手段186を有している。また、データ152は、個人を特定する情報として個人ID174とその個人毎の個人情報175として健診情報を管理している。個人ID174は、ここでは端末を設置している健診施設において個人を識別するために付与したIDである。また、個人情報175は健診の結果で、氏名や住所などのほか、各種検査結果、問診結果、医師の判定などの情報を含んでいる。
【0019】
ICカード103は、CPU付きの多目的ICカードであり、演算や処理を実行するCPU132と、端末102のICカードリーダライタ125と情報を入出力する入出力インターフェイス131、ICカード上のメモリである記憶装置133を有している。ICカード103の記憶装置133には、複数のアプリケーションをインストールでき、個人情報管理カードアプリケーション161と、商店街ポイントアプリケーション162、また、その他アプリケーション163など複数のアプリケーションがインストールされている。ICカード103の個人情報管理カードアプリケーション161は、匿名化ID176と個人ID177を保持しており、これらのIDを管理するID管理手段187を有している。
【0020】
まず、ICカード所有者が健診情報の管理サービスに加入する場合の処理について説明する。始めの時点では、ICカード103の記憶装置133には、個人情報管理カードアプリケーション161はインストールされていない状態であるものとする。このとき、ICカード103には、商店街の利用金額に応じてポイントが加算され、後日割引サービスなどが受けられる商店街ポイントアプリケーション162の他、いくつかのアプリケーション163がインストールされている。ICカード利用者は、日常からICカードを財布などと共に携帯し、例えば、商店街での買い物などで活用している。このような状態で健診施設を受診し、ICカードの利用者は健診情報の管理のサービスに加入する。健診情報の管理サービスには、健診施設の端末102から加入する。
【0021】
健診施設では、ICカード103を端末102のICカードリーダライタ125にセットし、個人情報管理端末プログラム151のサーバアクセス手段186で、アプリケーションの発行をサーバ101に要求する。サーバ101の個人情報管理サーバプログラム141の個人情報管理カードアプリケーション発行手段181は、データ領域142に保存されている個人情報管理カードアプリケーション173をネットワークインターフェイス112を介して端末102に送る。
【0022】
端末102は、ネットワークインターフェイス121で受信した個人情報管理カードアプリケーション173を、ICカードリーダライタ125を介してICカード103に送る。ICカード103は、入出力インターフェイス131で受信した個人情報管理カードアプリケーション161を記憶装置133に保存する。
【0023】
次に、個人情報管理サーバプログラムは、匿名化ID管理手段182で新しい匿名化IDを発行する。発行された匿名化IDは、端末102を介してICカード103の個人情報管理カードアプリケーション161のデータに匿名化ID176として保存する。また、端末102の個人情報管理端末プログラム151は、本人特定情報として健診施設で個人特定に用いている個人ID174を、個人情報管理カードアプリケーション161の個人ID177に記録する。
【0024】
以上のような手順で、他の目的で使用しているICカードに個人情報管理カードアプリケーションをICカードにインストールし、情報の提供に使用できるようになる。健診は年に1回しか行なわないため、個人情報管理目的での利用頻度はそれほど高くないが、ICカードは元々個人が日常的に使用しているものを用いるので利用頻度を高くでき、紛失することや必要なときに忘れることなどの心配を少なくできる効果がある。
【0025】
次に、このICカードを使用して健診情報を収集する流れについて説明する。個人が健診を受診して得られた検査結果や問診結果などは、端末102のデータ152に保存される。データは、施設内で個人を識別する情報である個人ID174と個人情報である実際の健診情報175として記録される。
【0026】
端末102の個人情報管理プログラム151は、健診を受診した個人に対して、健診結果の情報を研究機関のサーバに登録すれば、健診情報を個人で活用できるように管理すること、また、研究機関での研究に健診情報が活用されることについて説明する内容を表示装置123に表示する。さらに、健診情報をサーバに登録して良ければ、ICカードを端末のICカードリーダライタにセットするように促す内容を、表示装置123に表示する。
【0027】
そして、健診を受診した個人は、自分の健診情報について研究機関に対して提供してもよいと考えた場合、ICカード103を端末102のICカードリーダライタ125にセットする。端末の個人情報管理プログラム151の本人確認手段は、ICカード103のID管理手段187と共に個人ID177と174の一致を確認し、カード所有者と端末内データ152の個人の一致を確認する。次に、個人情報管理端末プログラム151の個人情報匿名化手段185により、ICカードをセットした人の健診情報175から氏名、住所、電話番号などの個人を特定可能な情報を削除し、ICカード103の匿名化ID176を付与して、健診情報の匿名化を行う。そして、サーバアクセス手段186は、匿名化された個人情報をネットワークインターフェイス121を介してサーバ101に送る。サーバ101の匿名データ管理手段183は、ネットワークインターフェイス112で受信したデータをデータ領域142に、匿名化ID171と個人情報172の形で保存する。このような形で研究機関は、健診情報をサーバ101に収集できる。
【0028】
収集した健診情報は、ICカードの使用により研究などへの提供に対する本人の同意を確認済であるため、収集した健診情報を使用し、例えば、健診結果と疾病の関係を分析するなどの様々な研究を実行できる。さらに、予め匿名化された個人情報を収集して利用するので、個人情報の漏洩に対する危険を低減できる効果がある。また、以前に健診情報を提供した人と同じ人が、新たに健診情報を提供した場合においても、個人情報管理カードアプリケーション161に管理された同じ匿名化IDで匿名化されてサーバ101に送られてくるので、過去の健診情報と新しい健診情報を匿名化したまま突合して扱うことができる効果がある。特に、健診では結果の時系列的な推移が重要と言われているが、この方法を用いることで、健診情報を匿名化した状態で、同一人物の健診情報を追加して時系列的に扱うことができる効果がある。
【0029】
また、上記の実施例では、端末が持つ個人情報をサーバで収集し、それを研究などに利用する方法について示したが、収集した個人情報を、提供した本人が利用できるようにしてもよい。例えば、サーバ101から自分の個人情報を取得する場合、ICカード使用者は、ICカード103を端末102のICカードリーダライタ125にセットし、入力装置124でサーバからのデータの取得を指示する。端末102の個人情報管理端末プログラム151では、まず本人確認手段184で個人IDの一致を確認し、次に、サーバアクセス手段186で匿名化ID176の情報の取得をネットワークインターフェイス121を介してサーバ101に要求する。サーバ101は、ネットワークインターフェイス112で受信した要求を基に、個人情報管理サーバプログラム141の匿名データ管理手段183で、匿名化ID176と一致する個人情報をデータ142の中から探す。そして、一致する匿名化ID171を持つ個人情報172をネットワークインターフェイス112を介して端末102に送付する。端末102は、ネットワークインターフェイス121で受信した個人情報を表示装置123などに表示する。
【0030】
このような手順で情報提供者本人が自分の健診情報を取得できる。個人情報保護の観点から、提供された個人情報は個人にも開示される必要があると言われている。このように、ICカードの個人情報管理カードアプリケーションに記録されている匿名化IDを使用してサーバから個人情報を取得することで、サーバ上では個人情報が匿名化されていても、正しく自分の情報のみをサーバから取得できる効果がある。
【0031】
また、サーバ上の個人情報を削除する場合、端末102のサーバアクセス手段186は、個人情報管理カードアプリケーション161に記録されている匿名化ID176を使用してサーバ101に個人情報の削除を要求する。サーバ101の匿名データ管理手段183は、匿名化ID176で指定された個人情報をデータ142の中から探し、匿名化ID176と一致する匿名化ID171の個人情報172を削除する。
【0032】
このような手順で情報提供者本人が自分の健診情報をサーバから削除できる。個人情報保護の観点から、提供された個人情報は提供者本人が提供を停止できる必要がある。このようにICカードの個人情報管理カードアプリケーションに記録されている匿名化IDを使用してサーバ上の個人情報を削除することで、サーバ上では個人情報が匿名化されていても、正しく自分の情報のみをサーバから削除できる効果がある。
【0033】
上述した実施例では、本人特定情報として健診施設で個人を管理するために付与された個人IDを用いる方法について説明したが、他の方法を用いてもよい。例えば、施設での個人IDと共に施設を識別するための施設IDを組み合わせて用いてもよい。例えば、ICカード103の所有者が健診施設を受診して健診情報管理サービスに加入するとき、ICカード103の個人情報管理カードアプリケーション161に、本人特定情報として施設での個人IDと共に施設IDを記録する。また、別の健診施設を受診した場合にも、その施設の施設IDと個人IDを追加して記録する。このようにすることで、ICカード所有者が複数の健診施設を受診した場合でも、各施設は自分の施設IDから施設内の個人IDを知ることができ、本人の確認ができる。また、サーバとしては、ICカード所有者が異なる健診施設を受診した場合でも、複数施設から送られてくる匿名化された個人情報は同一の匿名化IDで匿名化されるので、異なる健診施設から個人情報も同一の人の情報として扱うことができる効果がある。
【0034】
また、上述の実施例では、本人特定情報として健診施設で付与した個人IDを用いる方法について説明したが、個人を一意に特定するIDを用いるようにしてもよい。例えば、第三者機関を設置し、そこで個人に対して一意の個人IDを発行する。複数の健診施設において、同じ個人IDを用いるようにすれば、ICカード上の本人特定情報に一意の個人IDを一つ記録すればよく、ICカードの記憶領域の消費を低減できる効果がある。
【0035】
また、ICカードの本人特定情報として、公開鍵暗号方式の電子証明書などの暗号技術、指紋などのバイオメトリクス認証などの認証技術などを組み合わせて用いても良い。この場合、本人確認手段184において、より正確にICカード使用者とICカード所有者の一致を確認できる。また、匿名化IDも電子署名などの暗号技術と組み合わせて使用してもよい。匿名化IDの一致確認をより正確に行うことができ、個人情報の安全性を高めることができる。
【0036】
上述した実施例では、収集するサーバと単独のサーバで個人情報管理カードアプリケーションの発行と匿名化された個人情報の管理を行う方法について示したが、それぞれ別のサーバで行うようにしてもよい。個人情報管理カードアプリケーション発行手段181を有するサーバと、匿名化された個人情報を管理する匿名データ管理手段183を有するサーバとを分けることで、匿名化された個人情報を誤って個人を特定してしまう危険を低減できる。
【0037】
また、個人情報管理カードアプリケーション発行手段181、匿名化ID管理手段182、匿名化データ管理手段183をそれぞれ別のサーバで動作させるようにしてもよい。また、各々を別の組織や機関を設けて独自に管理するようにしてもよい。このように、匿名化された個人情報とその他の情報とを別に分けて管理することで、匿名化された個人情報の安全性をより高めることができる。
【0038】
また、上述した実施例では、商店街ポイントアプリケーションがインストールされたICカードを使用する例について説明したが、他のアプリケーションやICカードを用いてもよい。例えば、ICカードとしてクレジットカード会社等が発行するもの、行政などが発行するものを用い、クレジットカード会社のアプリケーションや行政サービスのアプリケーションがインストールされたものを使用してもよい。多目的のICカードであればあらゆるものを使用できる。例えば、住民基本台帳カードなど行政が発行したICカードを使用して、個人情報の管理を行政サービスとして行ってもよい。
【0039】
また、個人情報管理のアプリケーションと他のアプリケーションとを組み合わせて使用してもよい。例えば、他のアプリケーションとして暗号技術やバイオメトリクス技術などを用いた個人認証のアプリケーションをインストールし、個人認証のアプリケーションでICカード使用者とICカード所有者の一致を確認し、確認ができてから個人情報管理のアプリケーションが利用できるようにしてもよい。このように複数のアプリケーションを組み合わせることで、例えば、最新のより安全な個人認証アプリケーションが登場したときに、それをインストールすることで安全性を高められるなど、より安全なシステムを構築できるようになる。
【0040】
【発明の効果】
本発明の個人情報管理システムによれば、利用者個人にとって利便性が高く、また、健診に利用する場合など利用頻度が低くてもICカード紛失等の心配の少なくすることができる効果がある。さらに、ICカード使用時に個人情報管理カードアプリケーションで個人IDと匿名化IDを連結することで、個人情報を安全に収集・管理できる効果がある。
【図面の簡単な説明】
【図1】本発明の実施例の個人情報管理システムの一構成例を示す図。
【符号の説明】
101…サーバ、102…端末、103…ICカード、111、122、132…CPU、112、121…ネットワークインターフェイス、113、126、133…記憶装置、123…表示装置、124…入力装置、125…ICカードリーダライタ、131…入出力インターフェイス、141…個人情報管理サーバプログラム、151…個人情報管理端末プログラム、161、173…個人情報管理カードアプリケーション、162…商店街ポイントアプリケーション、163…その他アプリケーション、142、152…データ、171…匿名化ID、172…匿名化済個人情報、174…個人ID、175…個人情報、176…匿名化ID、177…個人ID、181…個人情報管理カードアプリケーション発行手段、182…匿名化ID管理手段、183…匿名データ管理手段、184…本人確認手段、185…個人情報匿名化手段、186…サーバアクセス手段、187…ID管理手段。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a personal information management system that manages personal information using an IC card.
[0002]
[Prior art]
Aiming at the development of medicine, research using information related to medical and health such as genetic information, medical examination information, and medical records is underway. On the other hand, since these pieces of information are personal information including privacy, sufficient handling of personal information protection is required for handling the information.
[0003]
Conventionally, as a system for managing and utilizing such personal information, for example, there is a system for analyzing genetic information. Ethical guidelines for human genome / gene analysis research are shown by the Ministry of Education, Culture, Sports, Science and Technology, the Ministry of Health, Labor and Welfare, and the Ministry of Economy, Trade and Industry as a standard of operation when handling genetic information (see Non-Patent Document 1). In this, in order to use personal information, it is necessary to obtain the consent of the information provider himself / herself, and computers that handle information containing information that identifies individuals must be separated from other computers. It is shown that. However, such a system is cumbersome to operate, and no consideration has been given to a method for easily registering additional information or using the registered information by the information provider himself.
[0004]
[Non-Patent Document 1]
March 2001 Ministry of Education, Culture, Sports, Science and Technology, Ministry of Health, Labor and Welfare, Ministry of Economy, Trade and Industry Notification No. 1
[Problems to be solved by the invention]
As an easy way to register additional information and use the registered information by the information provider itself, IC cards are distributed to individuals, and anonymized information and information that identifies individuals are managed in the IC card. A way to do this is conceivable. Anonymized personal information can be collected by confirming consent for information provision using an IC card and anonymizing using an anonymization ID in the card at the same time. Moreover, since it anonymizes with the same anonymization ID also when adding information, previously collected information and newly collected information can be combined with an anonymization ID.
[0006]
The above-mentioned method is a method of confirming consent for providing information from an individual using an IC card or anonymizing. However, if such an IC card dedicated to collecting information is issued, the user needs to carry the IC card together with other various cards, which may reduce the convenience for the user. Further, for example, when an IC card for collecting medical examination information is used, the normal medical examination is received only once a year, so the usage frequency is low, and there is a possibility that the user may forget its presence. Such a point has not been considered in the above-described method.
[0007]
An object of the present invention is to provide a personal information management system that is highly convenient for an individual user and that is less likely to cause loss of an IC card even when the frequency of use is low, such as when used for medical examinations. Another object of the present invention is to provide a personal information management system capable of safely collecting and managing personal information.
[0008]
[Means for Solving the Problems]
In order to solve the above problems, the personal information management system of the present invention anonymizes personal information and manages it with a server, and uses an IC card when accessing the server. The IC card identifies an anonymized individual. Anonymized ID assigned to the personal information of the anonymized IC card owner, identification information for identifying the IC card owner, and ID management means for managing the anonymized ID and identification information The personal information management card application is stored.
[0009]
Further, the personal information management system of the present invention distributes a personal information management card application and installs it on a personal IC card, and anonymization that issues an anonymization ID to the IC card. And an ID management means.
[0010]
Furthermore, the personal information management system of the present invention includes a person confirmation means for confirming that the IC card user is the owner of the IC card, using personal identification information managed by the personal information management card application, and personal information. Deletes information such as name and address that identifies an individual from the server, adds anonymized ID information of the personal information management card application to anonymize, and server access to send anonymized personal information to the server And anonymous data management means for managing personal information anonymized in the server.
[0011]
Further, in the personal information management system of the present invention, the server access means sends a request for acquiring personal information specified by the anonymization ID managed by the personal information management card application of the IC card to the server, and the anonymous data The personal information specified by the anonymization ID is acquired from the management means.
[0012]
Furthermore, in the personal information management system of the present invention, the server access means sends a request for deleting the personal information designated by the anonymization ID managed by the personal information management card application of the IC card to the server, and the anonymous data The management means deletes the personal information of the server.
[0013]
Furthermore, the personal information management system of the present invention is characterized in that the personal information management card application issuing means and the anonymous data management means operate on different server devices.
[0014]
Furthermore, the personal information management system of the present invention is characterized in that the personal information management card application issuing means, the anonymized ID management means, and the anonymous data management means operate on different server devices.
[0015]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Here, a case where an application for personal information management is installed in an IC card owned by a user and medical examination information as a result of a medical examination is handled as personal information will be described as an example. A health check information management service will be assumed in which health check information is managed by a server so that it can be used by individuals, and research such as analysis of health check information collected by the server is conducted.
[0016]
FIG. 1 is a diagram showing a configuration example of a personal information management system according to an embodiment of the present invention. The personal information management system includes a server 101, a terminal 102, and an IC card 103. The server 101 is a computer device that collects personal checkup information, and is installed in a research institution that collects checkup information and conducts research. The terminal 102 is a computer device that is installed in a medical examination facility that performs various medical examinations such as a periodic medical examination, a general medical examination, and a medical checkup, and manages medical examination information of the examinee. If there are a plurality of facilities, there will be a plurality of terminals 102, but only one is shown here. The IC card 103 is an IC card owned by an individual who receives a medical examination. Since there is a plurality of IC cards 103 for each individual, only a single IC card 103 is shown here.
[0017]
The server 101 is a computer device, and includes a CPU 111 that performs computation and processing, a network interface (Network I / F) 112 that communicates with a terminal, and a storage device 113 such as a hard disk and a memory. The storage device 113 has a server program 141 and data 142 for personal information management. In the server 101, the personal information management server program 141 and the data 142 in the storage device are read out to the CPU 111 as necessary to execute processing. Personal information management server program 141 includes personal information management card application issuing means 181 for distributing personal information management card application 173 to an IC card of a new subscriber, anonymizing ID management means 182 for issuing anonymized ID, and anonymized Anonymous data management means 183 for storing and managing personal information is included. Further, the data 142 manages the anonymization ID 171 and the anonymized personal information (anonymized personal information) 172, and also has a personal information management card application 173 installed on the IC card. Anonymization ID is given in order to identify the individual who provided personal information, and the same person manages with the same ID. Here, the anonymized personal information is obtained by excluding information that can identify an individual such as a name and an address from the results of medical examinations such as periodic medical examinations, general medical examinations, and medical checkups.
[0018]
The terminal 102 is a computer device, and includes a CPU 122 that performs computation and processing, a network interface (Network I / F) 121 that communicates with the server 101, a display device 123 such as a display, an input device 124 such as a mouse and a keyboard, and an IC card. An IC card reader / writer 125 that performs input / output of data, and a storage device 126 such as a hard disk or a memory. The storage device 126 includes a personal information management terminal program 151 for managing medical examination information, which is personal information at a medical examination facility, and data 152 such as actual medical examination information. In the terminal 102, the personal information management terminal program 151 and the data 152 stored in the storage device 126 are read out to the CPU 122 as necessary to execute processing. The contents of the process are displayed on the display device 123 as necessary, and the operator's instruction is input from the input device 124 to proceed with the process. The personal information management terminal program 151 includes a personal identification means 184 for confirming that the IC card user is the IC card owner, a personal information anonymization means 185 for anonymizing personal information held in the terminal, and the server 101. The server access means 186 for accessing and sending / receiving information. The data 152 manages personal checkup information as personal ID 174 as personal identification information and personal information 175 for each individual. Here, the personal ID 174 is an ID assigned to identify an individual at a medical examination facility where a terminal is installed. The personal information 175 is a result of the medical examination, and includes information such as various examination results, medical examination results, and doctor's judgment in addition to the name and address.
[0019]
The IC card 103 is a multi-purpose IC card with a CPU. The CPU 132 executes computations and processes, the input / output interface 131 that inputs / outputs information to / from the IC card reader / writer 125 of the terminal 102, and a memory that is a memory on the IC card. A device 133 is included. A plurality of applications can be installed in the storage device 133 of the IC card 103, and a plurality of applications such as a personal information management card application 161, a shopping mall point application 162, and other applications 163 are installed. The personal information management card application 161 of the IC card 103 holds an anonymization ID 176 and a personal ID 177, and has ID management means 187 for managing these IDs.
[0020]
First, the processing when the IC card owner subscribes to the medical examination information management service will be described. Assume that the personal information management card application 161 is not installed in the storage device 133 of the IC card 103 at the beginning. At this time, a number of applications 163 are installed on the IC card 103 in addition to the shopping street point application 162 that can receive points according to the amount of money used in the shopping street and receive a discount service at a later date. An IC card user carries an IC card with a wallet or the like everyday and uses it for shopping in a shopping street, for example. In such a state, the medical examination facility is visited, and the IC card user subscribes to a medical examination information management service. The health check information management service is subscribed from the terminal 102 of the health check facility.
[0021]
In the medical examination facility, the IC card 103 is set in the IC card reader / writer 125 of the terminal 102, and the server access unit 186 of the personal information management terminal program 151 requests the server 101 to issue an application. The personal information management card application issuing means 181 of the personal information management server program 141 of the server 101 sends the personal information management card application 173 stored in the data area 142 to the terminal 102 via the network interface 112.
[0022]
The terminal 102 sends the personal information management card application 173 received by the network interface 121 to the IC card 103 via the IC card reader / writer 125. The IC card 103 stores the personal information management card application 161 received by the input / output interface 131 in the storage device 133.
[0023]
Next, the personal information management server program issues a new anonymization ID by the anonymization ID management means 182. The issued anonymization ID is stored as an anonymization ID 176 in the data of the personal information management card application 161 of the IC card 103 via the terminal 102. Also, the personal information management terminal program 151 of the terminal 102 records the personal ID 174 used for personal identification at the medical examination facility as personal identification information in the personal ID 177 of the personal information management card application 161.
[0024]
Through the above procedure, the personal information management card application is installed in the IC card for use in other purposes and can be used for providing information. Since the medical checkup is performed only once a year, the frequency of use for personal information management is not so high, but the IC card can be used frequently and lost because it is originally used by individuals. The effect is that you can reduce the worry of doing things and forgetting them when necessary.
[0025]
Next, a flow of collecting medical examination information using this IC card will be described. Examination results, inquiry results, and the like obtained by an individual undergoing a medical examination are stored in data 152 of the terminal 102. The data is recorded as a personal ID 174 that is information for identifying an individual in the facility and actual medical examination information 175 that is personal information.
[0026]
The personal information management program 151 of the terminal 102 manages the medical examination information so that it can be used by the individual by registering the information of the medical examination result in the server of the research institution for the individual who has received the medical examination. The display device 123 displays the contents explaining that the medical examination information is used for the research in the research institution. Furthermore, if it is sufficient to register the medical examination information in the server, the display device 123 displays a content prompting the user to set the IC card in the IC card reader / writer of the terminal.
[0027]
Then, when an individual who has received a medical examination thinks that his / her medical examination information may be provided to a research institution, the IC card 103 is set in the IC card reader / writer 125 of the terminal 102. The personal identification means of the personal information management program 151 of the terminal confirms the coincidence of the personal IDs 177 and 174 together with the ID management means 187 of the IC card 103, and confirms the coincidence of the card owner and the personal data 152 in the terminal. Next, the personal information anonymization means 185 of the personal information management terminal program 151 deletes personally identifiable information such as name, address and telephone number from the medical examination information 175 of the person who set the IC card, and the IC card. The anonymization ID 176 of 103 is given to anonymize the medical examination information. Then, the server access unit 186 sends the anonymized personal information to the server 101 via the network interface 121. The anonymous data management means 183 of the server 101 stores the data received by the network interface 112 in the data area 142 in the form of an anonymization ID 171 and personal information 172. In this way, the research institution can collect medical examination information in the server 101.
[0028]
Since the collected medical checkup information has been confirmed by the use of the IC card, the consent of the person to be provided to research etc. has been confirmed, so the collected medical checkup information is used, for example, to analyze the relationship between the medical checkup result and the disease, etc. Can carry out various studies. Furthermore, since personal information that has been anonymized in advance is collected and used, there is an effect of reducing the risk of leakage of personal information. In addition, even when the same person who previously provided the medical checkup information has provided new medical checkup information, it is anonymized with the same anonymization ID managed by the personal information management card application 161 to the server 101. Since it is sent, the past medical examination information and the new medical examination information can be handled in an anonymized manner. In particular, it is said that the chronological transition of the results is important in the medical examination, but by using this method, the medical examination information of the same person is added in a time series while the medical examination information is anonymized. There is an effect that can be handled.
[0029]
In the above-described embodiment, the personal information held by the terminal is collected by the server and used for research. However, the collected personal information may be made available to the person who provided it. For example, when acquiring personal information from the server 101, the IC card user sets the IC card 103 in the IC card reader / writer 125 of the terminal 102 and instructs the input device 124 to acquire data from the server. In the personal information management terminal program 151 of the terminal 102, first, the identity confirmation unit 184 confirms the personal ID match, and then the server access unit 186 acquires the information of the anonymization ID 176 to the server 101 via the network interface 121. Request. Based on the request received by the network interface 112, the server 101 searches the data 142 for personal information that matches the anonymization ID 176 by the anonymous data management means 183 of the personal information management server program 141. Then, personal information 172 having a matching anonymization ID 171 is sent to the terminal 102 via the network interface 112. The terminal 102 displays the personal information received by the network interface 121 on the display device 123 or the like.
[0030]
By such a procedure, the information provider himself / herself can acquire his / her medical examination information. From the viewpoint of protecting personal information, it is said that the provided personal information needs to be disclosed to individuals. In this way, by acquiring the personal information from the server using the anonymization ID recorded in the personal information management card application of the IC card, even if the personal information is anonymized on the server, Only the information can be obtained from the server.
[0031]
When deleting personal information on the server, the server access unit 186 of the terminal 102 requests the server 101 to delete the personal information using the anonymization ID 176 recorded in the personal information management card application 161. The anonymous data management unit 183 of the server 101 searches the data 142 for the personal information specified by the anonymization ID 176 and deletes the personal information 172 of the anonymization ID 171 that matches the anonymization ID 176.
[0032]
By such a procedure, the information provider himself / herself can delete his / her medical examination information from the server. From the viewpoint of protecting personal information, it is necessary that the provider himself / herself can stop providing the personal information provided. By deleting the personal information on the server using the anonymization ID recorded in the personal information management card application of the IC card in this way, even if the personal information is anonymized on the server, Only the information can be deleted from the server.
[0033]
In the above-described embodiment, the method of using the personal ID assigned to manage the individual at the medical examination facility as the person identification information has been described, but other methods may be used. For example, a facility ID for identifying a facility may be used in combination with a personal ID at the facility. For example, when the owner of the IC card 103 receives a medical examination facility and subscribes to the medical examination information management service, the personal information management card application 161 of the IC card 103 stores the facility ID together with the personal ID at the facility as personal identification information. Record. Also, when another medical examination facility is visited, the facility ID and personal ID of the facility are additionally recorded. By doing in this way, even when the IC card owner has received a plurality of medical examination facilities, each facility can know the personal ID in the facility from its own facility ID, and can confirm the identity of the individual. In addition, even if the IC card owner receives a different medical examination facility, the personalized information sent from a plurality of facilities is anonymized with the same anonymization ID, so different medical examinations There is an effect that personal information from the facility can be handled as information of the same person.
[0034]
Moreover, although the above-mentioned Example demonstrated the method of using personal ID provided in the medical examination facility as personal identification information, you may make it use ID which specifies an individual uniquely. For example, a third party organization is set up, and a unique personal ID is issued to the individual. If the same personal ID is used in a plurality of medical examination facilities, it is only necessary to record one unique personal ID in the identification information on the IC card, and there is an effect of reducing consumption of the storage area of the IC card. .
[0035]
Further, as the identification information of the IC card, a cryptographic technique such as an electronic certificate using a public key cryptosystem, an authentication technique such as biometric authentication such as a fingerprint may be used in combination. In this case, the identity verification means 184 can more accurately confirm the match between the IC card user and the IC card owner. An anonymization ID may also be used in combination with an encryption technique such as an electronic signature. It is possible to more accurately check the anonymization ID and to increase the safety of personal information.
[0036]
In the above-described embodiment, the method of issuing the personal information management card application and managing the anonymized personal information by the collecting server and the single server has been described. However, they may be performed by different servers. By separating the server having the personal information management card application issuing means 181 and the server having the anonymous data management means 183 for managing the anonymized personal information, the anonymized personal information is erroneously specified as an individual. Can reduce the risk.
[0037]
Further, the personal information management card application issuing unit 181, the anonymized ID management unit 182, and the anonymized data management unit 183 may be operated on different servers. In addition, each may be managed independently by providing another organization or organization. Thus, the security of anonymized personal information can be further improved by separately managing anonymized personal information and other information.
[0038]
In the above-described embodiment, an example of using an IC card in which a shopping mall point application is installed has been described. However, other applications and IC cards may be used. For example, an IC card issued by a credit card company or the like, or issued by a government or the like may be used, and a card installed with a credit card company application or an administrative service application may be used. Any multipurpose IC card can be used. For example, personal information may be managed as an administrative service using an IC card issued by the government, such as a basic resident register card.
[0039]
Further, a personal information management application and another application may be used in combination. For example, a personal authentication application using encryption technology or biometric technology is installed as another application, and the personal authentication application confirms the match between the IC card user and the IC card owner, and then the individual can be confirmed. An information management application may be used. By combining multiple applications in this way, for example, when the latest safer personal authentication application appears, it will be possible to build a safer system, such as installing it to increase safety. .
[0040]
【The invention's effect】
According to the personal information management system of the present invention, there is an effect that it is highly convenient for an individual user, and can reduce anxiety such as loss of an IC card even when the frequency of use is low, such as when used for a medical examination. . Furthermore, there is an effect that personal information can be collected and managed safely by connecting the personal ID and the anonymized ID with the personal information management card application when using the IC card.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration example of a personal information management system according to an embodiment of the present invention.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 101 ... Server, 102 ... Terminal, 103 ... IC card, 111, 122, 132 ... CPU, 112, 121 ... Network interface, 113, 126, 133 ... Storage device, 123 ... Display device, 124 ... Input device, 125 ... IC Card reader / writer 131... I / O interface 141. Personal information management server program 151 151 Personal information management terminal program 161 173 Personal information management card application 162 Shopping mall point application 163 Other application 142 152 ... Data, 171 ... Anonymized ID, 172 ... Anonymized personal information, 174 ... Personal ID, 175 ... Personal information, 176 ... Anonymized ID, 177 ... Personal ID, 181 ... Personal information management card application issuing means, 182 ... Concealment Of ID management means, 183 ... anonymous data management means, 184 ... personal identification means, 185 ... personal information anonymous means, 186 ... server access means, 187 ... ID management means.
